Urządzenie Siemens SIMATIC CN 4100 zawiera zakodowane na stałe hasło (hard-coded password) dla uprzywilejowanego użytkownika systemowego `root` oraz bootloadera `GRUB`. Podatność jest krytyczna, ponieważ złamanie skrótu hasła daje atakującemu pełny dostęp do systemu bez żadnych dodatkowych uprawnień.
▸ Pokaż oryginał (EN)
A vulnerability has been identified in SIMATIC CN 4100 (All versions < V3.0). The affected device contains hard coded password which is used for the privileged system user `root` and for the boot loader `GRUB` by default . An attacker who manages to crack the password hash gains root access to the device.
W oprogramowaniu układowym urządzenia SIMATIC CN 4100 producent zdefiniował stałe, niezmienne hasło używane domyślnie dla konta `root` oraz bootloadera `GRUB`. Atakujący, który uzyska dostęp do skrótu (hash) tego hasła — np. poprzez sieć lub fizyczny dostęp do urządzenia — może podjąć próbę jego złamania metodami offline. Po pomyślnym złamaniu skrótu uzyskuje pełny dostęp root do urządzenia, obejmujący zarówno system operacyjny, jak i proces rozruchu.
Atakujący uzyskuje pełny dostęp root do urządzenia, co umożliwia mu przejęcie całkowitej kontroli nad systemem, modyfikację konfiguracji, instalację złośliwego oprogramowania oraz potencjalne naruszenie integralności, poufności i dostępności urządzenia.
Należy zaktualizować oprogramowanie układowe urządzenia Siemens SIMATIC CN 4100 do wersji V3.0 lub nowszej. Szczegółowe instrukcje dostępne są w biuletynie bezpieczeństwa Siemens SSA-273900 pod adresem: https://cert-portal.siemens.com/productcert/html/ssa-273900.html
Siemens SIMATIC CN 4100 — wszystkie wersje oprogramowania układowego poniżej V3.0
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HSiemens Simatic Cn 4100
HWSiemenswszystkie wersjeSiemens Simatic Cn 4100 Firmware
OSSiemens< 3.0
Powiązane podatności
Siemens SIMATIC CN 4100 — zakodowane dane uwierzytelniające w firmware
Ukryte dane uwierzytelniające w Siemens SIMATIC CN 4100 (hardcoded credentials)
Siemens SIMATIC CN 4100 – domyślne dane uwierzytelniające z uprawnieniami administratora
A vulnerability has been identified in SIMATIC CN 4100 (All versions < V2.5). Affected device consists of impr...
A vulnerability has been identified in SIMATIC CN 4100 (All versions < V5.0). The affected application does no...